bpf map映射简介

最新推荐文章于 2023-01-06 08:29:48 发布
最新推荐文章于 2023-01-06 08:29:48 发布
阅读量2.1k 收藏 3
点赞数 1
分类专栏: 云计算 Linux内核 文章标签: bpf bcc map bpf map
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010827484/article/details/109291294
版权

bpf map映射简介

bpf程序运行在内核,而且为了保证bpf程序运行的安全性,bpf虚拟机限制了系统调用,如果bpf程序需要和用户空间程序进程通信就需要bpf映射,bpf提供了如hash、stack、array等映射,在bpf程序中可以根据需求直接使用。

bcc bpf map映射分析

bcc中的BPF可以使用bcc的宏定义定义,当bcc加载bpf程序时再转换成section段定义进行编译。

bcc的BPF映射定义在src/cc/export/helpers.h文件,bcc编译bpf代码时替换bpf程序中的宏定义为满足bpf映射的格式再进行编译。

bcc/tools/filelife.py示例:

# define BPF program
bpf_text = """
#include <uapi/linux/ptrace.h>
#include <linux/fs.h>
#include <linux/sched.h>

struct data_t {
    u32 pid;
    u64 delta;
    char comm[TASK_COMM_LEN];
    char fname[DNAME_INLINE_LEN];
};

BPF_HASH(birth, struct dentry *);
BPF_PERF_OUTPUT(events);

// trace file creation time
int trace_create(struct pt_regs *ctx, struct inode *dir, struct dentry *dentry)
{
    u32 pid = bpf_get_current_pid_tgid() >> 32;
    FILTER

    u64 ts = bpf_ktime_get_ns();
    birth.update(&dentry, &ts);

    return 0;
};

// trace file deletion and output details
int trace_unlink(struct pt_regs *ctx, struct inode *dir, struct dentry *dentry)
{
    struct data_t data = {};
    u32 pid = bpf_get_current_pid_tgid() >> 32;

    FILTER

    u64 *tsp, delta;
    tsp = birth.lookup(&dentry);
    if (tsp == 0) {
        return 0;   // missed create
    }

    delta = (bpf_ktime_get_ns() - *tsp) / 1000000;
    birth.delete(&dentry);

    struct qstr d_name = dentry->d_name;
    if (d_name.len == 0)
        return 0;

    if (bpf_get_current_comm(&data.comm, sizeof(data.comm)) == 0) {
        data.pid = pid;
        data.delta = delta;
        bpf_probe_read_kernel(&data.fname, sizeof(data.fname), d_name.name);
    }

    events.perf_submit(ctx, &data, sizeof(data));

    return 0;
}
"""

filelife.py示例提供了BPF_HASH映射的增删改查功能,birth.update更新映射元素、birth.delete删除映射元素、birth.lookup查找映射元素。

BPF_HASH是定义在c++代码中的宏定义,展开如下:

#define BPF_HASH1(_name) \
  BPF_TABLE("hash", u64, u64, _name, 10240)
#define BPF_HASH2(_name, _key_type) \
  BPF_TABLE("hash", _key_type, u64, _name, 10240)
#define BPF_HASH3(_name, _key_type, _leaf_type) \
  BPF_TABLE("hash", _key_type, _leaf_type, _name, 10240)
#define BPF_HASH4(_name, _key_type, _leaf_type, _size) \
  BPF_TABLE("hash", _key_type, _leaf_type, _name, _size)

// helper for default-variable macro function
#define BPF_HASHX(_1, _2, _3, _4, NAME, ...) NAME

// Define a hash function, some arguments optional
// BPF_HASH(name, key_type=u64, leaf_type=u64, size=10240)
#define BPF_HASH(...) \
  BPF_HASHX(__VA_ARGS__, BPF_HASH4, BPF_HASH3, BPF_HASH2, BPF_HASH1)(__VA_ARGS__)

BPF_HASH宏定义中的可变参替换到BPF_HASHX宏定义的开头,后面再使用宏定义方式动态生成不同参数的HASH_TABLE宏定义,展开如下所示:

#define BPF_HASHX(_1, _2, _3, _4, NAME, ...) NAME		返回第五个参数名字

BPF_HASH(birth, struct dentry *);
展开:
 BPF_HASHX(birth, struct dentry *, BPF_HASH4, BPF_HASH3, BPF_HASH2, BPF_HASH1)(birth, struct dentry *)
 BPF_HASH2(birth, struct dentry *)
 展开:
  BPF_TABLE("hash", struct dentry *, u64, birth, 10240)

BCC巧妙使用了C/C++宏定义计算可变参参数个数的方式动态生产了不同参数的宏定义。

最终宏定义替换成具备默认函数指针的结构体,section段指向“maps/”,这样就和自己编码bpf程序定义map的结构一样了。

如下的update、insert、delete、call等方法就是文章开始提到的增删改查函数指针,功能由内核实现。

#define BPF_TABLE(_table_type, _key_type, _leaf_type, _name, _max_entries) \
BPF_F_TABLE(_table_type, _key_type, _leaf_type, _name, _max_entries, 0)

// Changes to the macro require changes in BFrontendAction classes
#define BPF_F_TABLE(_table_type, _key_type, _leaf_type, _name, _max_entries, _flags) \
struct _name##_table_t { \
  _key_type key; \
  _leaf_type leaf; \
  _leaf_type * (*lookup) (_key_type *); \
  _leaf_type * (*lookup_or_init) (_key_type *, _leaf_type *); \
  _leaf_type * (*lookup_or_try_init) (_key_type *, _leaf_type *); \
  int (*update) (_key_type *, _leaf_type *); \
  int (*insert) (_key_type *, _leaf_type *); \
  int (*delete) (_key_type *); \
  void (*call) (void *, int index); \
  void (*increment) (_key_type, ...); \
  int (*get_stackid) (void *, u64); \
  u32 max_entries; \
  int flags; \
}; \
__attribute__((section("maps/" _table_type))) \
struct _name##_table_t _name = { .flags = (_flags), .max_entries = (_max_entries) }; \
BPF_ANNOTATE_KV_PAIR(_name, _key_type, _leaf_type)

以上为BPF_HASH宏定义展开后的情况,下面是HASH_STACK宏定义bpf的栈映射展开后的情况:

// Changes to the macro require changes in BFrontendAction classes
#define BPF_QUEUESTACK(_table_type, _name, _leaf_type, _max_entries, _flags) \
struct _name##_table_t { \
  _leaf_type leaf; \
  int * (*peek) (_leaf_type *); \
  int * (*pop) (_leaf_type *); \
  int * (*push) (_leaf_type *, u64); \
  u32 max_entries; \
  int flags; \
}; \
__attribute__((section("maps/" _table_type))) \
struct _name##_table_t _name = { .flags = (_flags), .max_entries = (_max_entries) }; \
BPF_ANNOTATE_KV_PAIR_QUEUESTACK(_name, _leaf_type)

bcc创建映射

bpf代码中创建映射后作为代码段编译在bpf的obj程序中,当bcc加载bpf程序时会读取map段数据进行创建。

首先bcc会编译bpf代码,然后把bpf程序的section数据生成btf格式数据,并在用户空间根据使用malloc分配一块内存空间,使用bpf BPF_BTF_LOAD系统调用加载进内核,最后在通过load_maps流程创建bpf map。

编译btf流程:
BPFModule::load_string->
	finalize->
		load_btf->
			btf->load->
				btf__new->
					malloc
				btf__load->
					bpf_load_btf->
						sys_bpf(BPF_BTF_LOAD, &attr, sizeof(attr));
				
		load_maps->
			create_maps->
				bcc_create_map_xattr->
					bpf_create_map_xattr->
						(获取btf_loadmalloc的fd,然后调用bpf系统调用进行map创建)
						attr.btf_fd = create_attr->btf_fd;
						sys_bpf(BPF_MAP_CREATE, &attr, sizeof(attr));

内核bpf map创建流程

kernel收到系统调用后进入创建map的流程,首先根据参数获取map类型(如hash、array等),然后使用对应map创建map,获取btf数据,根据btf数据校验map信息,内核分配map id,绑定map id到对应的map。

SYSCALL_DEFINE3(bpf, int, cmd, union bpf_attr __user *, uattr, unsigned int, size)->
	map_create->
		find_and_alloc_map->
			map = ops->map_alloc(attr);
		btf_get_by_fd->
		map_check_btf->
         bpf_map_new_fd->
迷失0
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BPF Performance Tools - Brendan Gregg.pdf
01-30
BPF Performance Tools: Linux and Application Observability:源代码参加https://github.com/brendangregg/bpf-perf-tools-book
ebpfbcc程序入门
qq_44927248的博客
10-24 1565
了解内核态**如何向用户态传递数据**(BPF_ARRAY,BPF_HASH等和相应增删改查函数,用户态中如何读取数据b[""].items()等函数),了解在挂载函数时**如何选择相应的探针**(kprobes、kretprobes、uprobes、uretprobes),了解如何**从挂载的函数中获取数据**(PT_REGS_PARM*、PT_REGS_RC、以及bpf中定义的有关函数,如bpf_get_current_pid_tgid()),就可以尝试自己编写bcc程序了。
BPF-Performance-Tools-by-Brendan-Gregg.pdf
01-13
BPF-Performance-Tools-by-Brendan-Gregg
BPF数据传递的桥梁——BPF Map(一)
云原生实验室
08-31 8137
Docker 技术鼻祖系列对 ebpf 技术感兴趣的同学可以订阅作者的博客主题:https://davidlovezoe.club/wordpress/archives/tag/ebpf...
bcc 源码分析之TCPSendStack.cc
hongel110的博客
03-04 362
examples/cpp/TCPSendStack.cc file:src/cc/export/helpers.h line:345 #define BPF_STACK_TRACE(_name, _max_entries) \ BPF_TABLE("stacktrace", int, struct bpf_stacktrace, _name, roundup_pow_of_two(_max_entries)) file:src/cc/export/helpers.h line:1...
BCC Python开发教程&常用BCC工具(二)
hudongliang2006nb的专栏
11-15 930
这个教程主要目的是展示如何使用python来进行bcc工具开发和编程。教程主要分为两个部分:可观察性和网络。文中的代码片段均都来自于bcc:代码片段的licenses见bcc中具体文件。也可参考bcc开发者手册以及end-users工具教程:。此外bcc还开放有lua接口。
Linux 内核观测技术 eBPF 中文入门指南
easylife206的专栏
01-06 2379
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !很早前就想写一篇关于 eBPF 的文章,但是迟迟没有动手,这两天有点时间,所以就来写一篇。这文章主要还是简单的介绍 eBPF 是用来干什么的,并通过几个示例来介绍是怎么玩的。这个技术非常非常之强,Linux 操作系统的观测性实在是太强大了,并在 BCC 加持下变得一览无余。这个技术不是一般的运维人员或是系统管理员可以...
bpf map简介1
大草的博客
04-11 3732
bpf map简介
BPF相关技术与发展史
咖啡男孩之SRE之路
10-11 467
BPF本质上是一种操控内核的开发技术,所以要彻底明白BPF就要先了解内核的相关知识。 Linux两大运行空间 CPU将指令分为特权指令和非特权指令,对于那些危险的指令,只允许操作系统及其相关模块使用。操作系统的核心是内核(kernel),可以访问受保护的内存空间和硬件设备,也就是能执行这些特权指令,而用户进程不能直接操作内核,只能执行非特权指令。 出于内核安全方面的考虑,操作系统将虚拟地址空间划分为两部分,一部分为内核空间,另一部分为用户空间。通过区分内核空间和用户空间的设计,...
使用eBPF&BCC提取内核网络流量信息
金荣的个人技术博客
07-27 2828
前言 本文将分享从0开始编写自己的bcc程序。那么开始编写bcc之前,自己一定要明确,我们要用bcc提取什么数据。本文的实例是统计内核网络中的流量,我要提取的数据关键字段为进程的PID,进程的名字,进程的收包实时流量、发包实时流量,收包流量总和,发包流量总和,总的收发流量等。 我们知道bcc是eBPF的一个工具集,是eBPF提取数据的上层封装,它的形式是python中嵌套bpf程序。python部分的作用是为用户提供友好的使用eBPF的上层接口,也用于数据处理。bpf程序会注入内核,提取数据。当bpf程序运
BPF Performance Tools
02-28
1.1 BPF和eBPF是什么 1 1.2 跟踪、嗅探、采样、剖析和可观测性分别是什么 2 1.3 BCCbpftrace和IO Visor 3 1.4 初识BCC:快速上手 4 1.5 BPF跟踪的能见度 7 1.6 动态插桩:kprobes和uprobes 8 1.7 静态插桩:...
BPF Internals.pdf
07-31
BPF Internals.pdf
BPF PerformanceTools.epub
08-21
BPF and related observability tools give software professionals unprecedented visibility into software, helping them analyze operating system and application performance, troubleshoot code, and ...
BPF PerformanceTools.epub.zip
07-22
BrendanGregg
bpf-exercises
05-14
Linux eBPF练习 与eBPF研讨会一起进行的小练习。 要求 装有最新内核(v4.15或更高版本)和DockerLinux系统。 您可以使用“ Vagrant”框,也可以要求我们在云中提供预配置的VM(例如,避免使用公司代理)。...
Opendaylight Service Function Chaining Demo
迷失的专栏
07-26 2370
ODL-SFC 环境搭建 作者信息:绿盟科技SPG团队 张力茂 ODL Service Function Chaining 在网络通信过程中,包含各式各样的网络服务功能。既可以包含传统的像防火墙,NAT等功能,也有包含特定的网络应用功能(Service Function)。将特定的网络应用功能有序地组合起来,接着让流量通过这些服务功能就构成了网络服务链(Network Service...
bpf-bcc加载代码分析
迷失的专栏
10-26 1281
BCC简介 bcc作为bpf的api库,提供了加载、编译,运行bpf代码功能,其核心功能是对bpf的系统调用进行封装,降低bpf使用门槛。 BCC源码介绍 [root@localhost bcc]# ls build CMakeLists.txt CONTRIBUTING-SCRIPTS.md Dockerfile.debian Dockerfile.ubuntu examples images introspection LICENSE.txt man RE
Cisco VPP Vhost-user协商时序
迷失的专栏
10-26 659
vhost-user 分为服务端和客户端,以下时序为libvirtd和vpp进行协商,协商过程中不管libvirtd作为vhost-user的服务端或者客户端,都由libvirtd主动使用Unix Socket套接字发起协商 vhost-user协商时序: vm libvirtd ---> ...
bpf map 使用实例
最新发布
05-25
BPF(eBPF)是一种内核技术,它可以让开发人员在内核空间中运行代码。在BPF中,Map是一种数据结构,它可以在内核空间和用户空间之间传递数据。下面是一个简单的BPF Map使用实例: ``` c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <linux/bpf.h> #include <linux/if_ether.h> #include <linux/ip.h> #include <linux/in.h> #include <linux/tcp.h> #include <linux/udp.h> #include <linux/if_packet.h> #include <linux/filter.h> #include <linux/if_ether.h> #include <sys/types.h> #include <sys/socket.h> #include <arpa/inet.h> #define MAP_NAME "my_map" #define MAP_SIZE 1024 int main(int argc, char **argv) { int map_fd = bpf_create_map(BPF_MAP_TYPE_HASH, sizeof(uint32_t), sizeof(uint64_t), MAP_SIZE, 0); if(map_fd < 0) { perror("bpf_create_map"); return -1; } uint32_t key = 100; uint64_t value = 200; if(bpf_update_elem(map_fd, &key, &value, BPF_ANY) < 0) { perror("bpf_update_elem"); return -1; } uint64_t result; if(bpf_lookup_elem(map_fd, &key, &result) < 0) { perror("bpf_lookup_elem"); return -1; } printf("value: %lu\n", result); if(bpf_delete_elem(map_fd, &key) < 0) { perror("bpf_delete_elem"); return -1; } return 0; } ``` 这个例子创建了一个HASH类型的Map,它的键是一个32位的无符号整数,值是一个64位的无符号整数。然后,它插入一个键值对到Map中,并且查找这个键对应的值,并且删除这个键值对。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值